ブラウザのCookieは「物理的に」盗まれますか？

はい。ただし、正確な意味は、Cookieを設定するWebサイトで使用される認証技術によって異なります。たとえば、一部のWebサイトでは、Cookieの有効期限が特に短い場合や、Webサイトが認証を続行する前に追加のチェック（IPアドレスやブラウザのユーザーエージェントなど）を行う場合があります。一般に、セッションハイジャックにはいくつかのものが必要です。

• Cookieが自然に有効期限に達していない必要があります。

• セッションを認証するには、Cookieだけで十分です（TLS証明書などは不可）。

• ユーザーはログアウトしていない必要があります（Cookieが無効になります）。

一部の特に不適切に設計されたサイトは、ユーザーがログアウトしたとき、またはCookieが有効期限に達したときに、サーバー側でCookieを無効にしません。これらのWebサイトは完全にブラウザに依存しており、Cookieを取得すると、非常に簡単にハイジャックできます。適切に設計されたWebサイトは、Cookieに設定された有効期限に関係なく、Cookieの有効性を追跡し、ユーザーがログアウトした後、すぐに認証Cookieの受け入れを拒否する必要があります。